2025年4月の気になるインターネット記事をピックアップ
ゴールデンウィーク、皆様はいかがお過ごしでしたでしょうか。僕は実家に帰ってゆっくりしていました。どこも人が多く、お値段もお高めですからね。
ハッカーがOracle Cloudへ不正アクセスし600万件の情報窃取を主張、Oracleは否定
タイトルはこのニュースが公開された当時のモノとなっており、現在Oracleは情報が窃取されたことを認めています。 この件に関してはGIGAZINEが続報を追っており、Oracleがセキュリティインシデントの証拠となるURLをInternetArchiveから削除させようとしていることが暴露されたり、当初否定していたOracleが情報漏洩を認めたものの、対象はOracle Cloudではないと主張したりと様々な動きが出ています。もう「情報は漏洩しているもの」と思わないとだめですね、Oracleだって世界に名だたる企業、セキュリティ対策はそうとうのモノのはずですから。
スマホの回線を乗っ取る、“ニセ基地局”が国内で出現 詐欺SMSを強制送信 携帯各社も対策へ IMSIキャッチャーという電話盗聴装置が都心で利用されているという話。IMSIキャッチャーは標的の携帯電話とサービス・プロバイダ(docomoやKDDI)の本物の携帯基地局との間で”偽”の携帯電話の基地局として機能し中間者攻撃を行います。盗聴したり、フィッシング詐欺のSMSを送信したりします。 一般的に3G以上の無線通信は、携帯電話機とネットワークの双方から相互認証が必要であるため、リスクをある程度軽減できますが、ジャミング(電波妨害=電波法違反)を併用することで4G/5G回線に繋がらないようにしダウングレード攻撃を仕掛け、2Gなどセキュリティ的に弱い無線回線でサービスプロバイダに繋ぐように仕向けます。
2Gのモバイル通信では、携帯端末がネットワークに対して認証を要求するが、ネットワークが携帯端末に対して認証を要求しない。このよく知られたセキュリティ・ホールが、IMSIキャッチャーによって悪用される。 IMSIキャッチャーは携帯基地局になりすまし、エリア内のIMSIキャッチャーに接続を試みる全ての移動端末(英語版)のIMSI番号を記録する。接続された携帯電話に対して、通話暗号化なし(A5/0モード)や、解読が容易な暗号化(A5/1またはA5/2モード)を強制することで、通話データの傍受や音声への変換を容易にする。 [Wikipediaより
総務大臣も把握していて「対応している」とのことです。この手の話となると国外スパイによる諜報活動、と思われがちですが一般人(といっても専門家のようですが)にもバレているということはその線は薄いのかもしれません(国家スパイのやることは我々が気付くのはむずかしいでしょう)。この専門家の推測によると「訪日外国人観光客を狙ったフィッシング詐欺が目的ではないか」とのこと。いずれにしても治安の悪い話です。うかつに外で機密性高いインターネットアクセスもできなくなります。
IIJセキュアMXサービスにおけるお客様情報の漏えいについて IIJセキュアMXサービスにおけるお客様情報の漏えいについてのお詫びとご報告
長年セキュリティインシデントの侵入口のトップに位置する電子メール。もうコミュニケーションツールとして使い物にならねぇよ!という声がある一方、SlackやLINEのように特定の企業に占有されていないオープンなテクノロジーであることからまだまだ利用されるでしょう。そんなメールに対してのセキュリティを強化する頼もしいサービスですが、昨年夏より不正なプログラムがサーバの中で動作していてメール情報や認証情報が漏洩した恐れがあるとのこと。その被害範囲は契約数、メールアドレス数ともすごい量です。
大規模なセキュリティ事故である一方、発見のきっかけになったのIIJセキュアMXサービスで利用されているソフトウェア(クオリティアのActiveMail)のゼロデイ脆弱性をIIJ内のセキュリティチームが発見し、クオリティアと協力して調査したからだそうで。自分はIIJと一緒に仕事をしていたこともあり、彼らの技術力の高さは理解し信頼しています。なんといっても、日本で最初のインターネットサービスプロバイダですからね。好きなブランドです。しかし彼らほど優れたセキュリティ部隊を揃えていても長期にわたり気が付くことができなかった。長い間サーバに隠れて稼働していたマルウェアを作った攻撃者もまた、このゼロデイ脆弱を知っており、こっそり使っていたのでしょう。セキュリティチームとしては悔しくて仕方ないでしょうね…。
MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け MITRE(マイター)はアメリカの非営利団体です。特にサイバーサイバーセキュリティ分野において、CVE (Common Vulnerabilities and Exposures) プログラムの運営で知られています。CVEは公開されているセキュリティ脆弱性に対して一意の識別子 (CVE ID) を付与し、脆弱性情報の共有と管理を標準化する重要な役割を担っています。 また、MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) と呼ばれるフレームワークを開発し、 サイバー攻撃者の戦術とテクニックを構造化し、攻撃がどれに属するかの参考情報も公開しています。
そのMITREが2025/4/15を最後にアメリカ政府から資金援助が受けられなくなるというニュースです。CVEが発行されなくなるとすれば、サイバーセキュリティ界隈にとって大激震となります。CVEのような指標が無くなると、どのような脆弱性が新たに発見され、それがどの程度危険なのかを判断する基準の一つが無くなってしまいます。
CVE Foundation こちらは公式なアナウンスではないようですが、このようなページが4/16に作られました。以下Google翻訳
CVE 財団は、25 年間にわたり世界のサイバーセキュリティ インフラストラクチャの重要な柱となってきた共通脆弱性識別子 (CVE) プログラムの長期的な存続可能性、安定性、および独立性を保証するために正式に設立されました。
CVEプログラムは発足以来、米国政府の資金提供によるイニシアチブとして運営されており、監督と管理は契約に基づいて行われています。この体制はプログラムの成長を支えてきましたが、同時に、世界的に信頼されているリソースが単一の政府スポンサーに縛られることの持続可能性と中立性について、CVE理事会のメンバーの間で長年の懸念が生じてきました。
この懸念は、MITREが2025年4月15日付でCVE委員会に宛てた書簡で、米国政府がこのプログラムの管理契約を更新する意向がないことを通知したことを受けて、喫緊の課題となっています。私たちはこの日が来ないことを願っていましたが、その可能性に備えてきました。
これを受けて、CVE理事会の長年にわたる活動的なメンバーで構成される連合は、過去1年間、CVEを専門の非営利財団へと移行するための戦略を策定してきました。新しいCVE財団は、世界中のセキュリティ対策従事者のために、高品質な脆弱性特定を提供し、CVEデータの完全性と可用性を維持するという使命を継続することに専心します。
「CVEは世界的なサイバーセキュリティ・エコシステムの礎石であり、それ自体が脆弱であってはならないほど重要です」と、財団の役員であるケント・ランドフィールド氏は述べています。「世界中のサイバーセキュリティ専門家は、セキュリティツールやアドバイザリから脅威インテリジェンスや対応に至るまで、日々の業務の一環としてCVEの識別子とデータに依存しています。CVEがなければ、防御側は世界的なサイバー脅威に対して大きな不利な立場に置かれます。」
CVE Foundationの設立は、脆弱性管理エコシステムにおける単一障害点の排除と、CVEプログラムが世界的に信頼され、コミュニティ主導のイニシアチブであり続けるための大きな一歩となります。国際的なサイバーセキュリティコミュニティにとって、この動きは、今日の脅威環境のグローバルな性質を反映したガバナンスを確立する機会となります。
様々な動きがあるようですが、いったんは資金提供は延長されたとのことです。しかしほっとするのもつかの間。
CISAがサイバー脅威ハンティングツール「VirusTotal」「Censys」の使用を終了へ 人員削減の影響が拡大
VirusTotal はGoogleの子会社であるChronicleが提供するマルウェア分析サービスです。無料版と機能が強力な有料版があります。Censysは、インターネットに接続されたデバイスに関する情報を収集・分析する商用サービスです。どちらもOSINTにとって重要なサービスです。アメリカのサイバーセキュリティとインフラのセキュリティを強化し、保護してきたCISAはこれまで有料サービスを契約して利用してきましたが、その費用が打ち切られることで、アメリカのサイバー戦略が後退するリスクがあります。
IPAは中小企業を対象としたセキュリティインシデント対応机上演習を開催していますが、より多くの組織に机上演習を実施いただけるようにするため、演習教材と演習実施のためのマニュアルを公開することとしました
内容を読みましたが、インシデント発生時に頼りになるマニュアルになっています。社内でやることや社外への連絡先などもまとまっています。これを読みながらリハーサルすると良いでしょう。気が乗らないのは確かですし、実際に準備通りの流れになることは無いのですが、それでも備えておくことは必要なのです。
今月もセキュリティに関するニュースが多々あり、なんだかセキュリティの専門家を名乗る自分もセキュリティ疲れが深刻です・・・。